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Zoals Uw Kamer bekend werd in Brussel onderhandeld over een pakket 
dat strekt tot herziening van de regels voor de bescherming van persoons¬ 
gegevens binnen de Europese Unie. Het pakket omvat twee voorstellen en 
een mededeling waarin die voorstellen worden opgevoerd en toegelicht. 
De voorstellen van de Commissie betreffen het voorstel voor een 
verordening over de bescherming van personen met betrekking tot de 
verwerking van persoonsgegevens en het vrije verkeer van dergelijke 
gegevens (hierna: ontwerpverordening gegevensbescherming) en het 
voorstel voor een richtlijn over de bescherming van personen met 
betrekking tot de verwerking van persoonsgegevens door de bevoegde 
autoriteiten ten behoeve van de voorkoming, het onderzoek, de 
opsporing, of de vervolging van strafbare feiten of de tenuitvoerlegging 
van straffen, en het vrije verkeer van dergelijke gegevens (hierna: 
ontwerprichtlijn gegevensbescherming opsporing en vervolging). 

Over de voorstellen van de Commissie voor de ontwerpverordening en de 
ontwerprichtlijn zijn destijds BNC-fiches opgesteld (Kamerstuk 22 112, 
nr. 1371). Tussentijds is Uw Kamer van de stand van zaken in de onder- 
handelingen op de hoogte gehouden, door middel van de geannoteerde 
agenda's en verslagen met betrekking tot de Raden Justitie en Binnen¬ 
landse Zaken (JBZ) daarnaast door middel van periodieke rapportages 
(Kamerstuk 32 761, laatstelijk nr. 90). 

Inmiddels heeft het Luxemburgse Voorzitterschap met de onderhande¬ 
laars van het Europees parlement (de rapporteurs) een voorlopige 
overeenstemming bereikt over de ontwerpverordening en de ontwer¬ 
prichtlijn. Het resultaat van de onderhandelingen (hierna ook te noemen: 
de compromistekst) is op 17 december 2015 in het LIBE comité in 
stemming gebracht voor instemming. Het LIBE comité heeft de beide 
compromisteksten met een grote meerderheid aangenomen, zodat deze 
op 18 december aan het Comité van Permanent Vertegenwoordigers bij 
de Europese Unie (Coreper) ter instemming kan worden voorgelegd. 
Daarna volgt nog de formele goedkeuring zowel van het Europees 
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parlement in plenaire sessie als in een Raad van Ministers van de 
Europese Unie, mogelijk een Raad Justitie en Binnenlandse Zaken. 

De compromisteksten bied ik u hiermee ter kennisneming aan 1 . Hieronder 
wordt een korte schets van de belangrijkste onderdelen van de ontwerp¬ 
verordening en de ontwerprichtlijn gegeven, en een eerste, algemene 
waardering van het onderhandelingsresultaat. 

- De ontwerpverordening gegevensbescherming 

De compromistekst is zeer omvangrijk en bevat vele wijzigingen ten 
opzichte van zowel het oorspronkelijk ontwerp van de Commissie, als de 
algemene oriëntatie waarover de Raad in juni van dit jaar overeen¬ 
stemming bereikte. Uw Kamer zal over de details worden geïnformeerd in 
de rapportage over de onderhandelingen in het laatste kwartaal van dit 
jaar. Ik beoordeel het onderhandelingsresultaat echter vooral aan de hand 
van de drie belangrijkste elementen waaraan Nederland de afgelopen vier 
jaar steeds nadrukkelijk aandacht heeft besteed. Daarnaast informeer ik u 
nog over een relevante wijziging van de bepaling over de bescherming 
van jeugdigen 

Het eerste element is om voldoende flexibiliteit voor de publieke sector te 
garanderen voor wat betreft het verwerken van persoonsgegevens, gelet 
op de bijzondere taak van de overheid. Ik ben van oordeel dat de 
compromistekst deze ruimte in voldoende mate biedt. Allereerst wordt in 
artikel 6(2a) voorzien dat, indien een verwerking plaatsvindt op basis van 
de rechtsgrondslagen die specifiek voor de overheid gelden bij of 
krachtens de wet in een specifieke vereisten invulling aan de verordening 
kan worden gegeven. In artikel 6 (3) wordt, mede naar aanleiding van 
Nederlandse voorstellen de band tussen de rechtsgrondslagen voor 
verwerkingen in het publieke domein verduidelijkt. Het betreft artikel 
6(1)(c) - gegevensverwerkingen voor het nakomen van een wettelijke 
verplichting - en artikel 6(1)(e) - gegevensverwerkingen noodzakelijk ter 
vervulling van een taak van algemeen belang of de uitoefening van 
openbaar gezag dat aan de voor de verwerking verantwoordelijke is 
verleend. 

In artikel 6(3a) is in samenhang met overweging 40 voorts voorzien in de 
mogelijkheid voor de publieke sector om gegevens verder te verwerken 
voor een ander gespecificeerd doel dan waarvoor ze oorspronkelijk zijn 
verzameld indien dit bij wet wordt geregeld. Ook dit was een Nederlands 
voorstel. Tenslotte wordt in artikel 21 voorzien in de mogelijkheid om 
beperkingen op bepaalde artikelen van de verordening bij wet in te 
stellen, onder andere in bijvoorbeeld het belang van nationale veiligheid, 
de openbare veiligheid en andere belangrijke redenen in het algemene 
publieke belang. Met deze voorzieningen wordt het bestaande stelsel van 
de huidige richtlijn gecontinueerd, en tegelijk voorzien in uitbreiding van 
de waarborgen voor de bescherming van de persoonlijke levenssfeer. 

Een tweede element is een risico-georiënteerde benadering met 
betrekking tot verplichtingen van verantwoordelijken. Nederland heeft 
sterk aangedrongen op meer maatwerk bij de vormgeving van deze 
verplichtingen. Dat is nodig om in het belang van het midden- en 
kleinbedrijf de administratieve lasten terug te dringen. Na lezing van de 
tekst kan geconcludeerd worden dat de ontwerpverordening voorziet in 
een georiënteerde benadering kent. Met name in de onderstaande 
artikelen komen de elementen van een risicobenadering goed tot uiting. 
Daarmee worden de administratieve lasten, met name voor het midden 
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en klein bedrijf (MKB), naar verwachting tot aanvaardbare proporties 
beperkt blijven. 

- Artikel 28 - de documentatieplicht. De hoofdregel is dat verantwoorde¬ 
lijken en bewerkers de plicht hebben bepaalde documentatie bij te 
houden over de gegevensverwerkingen die ze uitvoeren. In artikel 
28(2) wordt echter voorzien in een uitzondering voor het MKB 
(gedefinieerd als een organisatie met minder dan 250 werknemers), 
tenzij de desbetreffende verwerkingen leiden tot een hoog risico voor 
de rechten en vrijheden van de betrokkene en niet sporadisch is of als 
de verwerkingen speciale categorieën persoonsgegevens als in artikel 
9 of strafrechtelijke gegevens als in artikel 9a betreffen. 

- Artikel 31 - meldplicht datalekken aan de toezichthouder. Datalekken 
hoeven niet gemeld te worden aan de toezichthouder als het onwaar¬ 
schijnlijk is dat deze resulteren in een risico voor de rechten en 
vrijheden van individuen. 

- Artikel 32 - meldplicht datalekken aan de betrokkene. Alleen als een 
datalek waarschijnlijk leidt tot een hoog risico voor de rechten en 
vrijheden van de betrokkene moet deze worden gemeld aan de 
betrokkene. 

- Artikel 33 - uitvoeren van een «data protection impact assessment». 
Alleen als bepaalde type verwerkingen, daarbij rekening houdend met 
de aard, reikwijdte, context en doelen van de verwerking, waarschijn¬ 
lijk tot een hoog risico zal leiden voor de rechten en vrijheden van 
individuen, dient de verantwoordelijke een DPIA uit te voeren. 

- Artikel 35 - verplicht aanstellen van een functionaris voor de gege¬ 
vensbescherming; het aanstellen van een functionaris voor de 
gegevensbescherming is alleen verplicht voor de volgende drie 
categorieën van verantwoordelijken en verwerkers. In de eerste plaats 
publieke autoriteiten. In de tweede plaats verantwoordelijken en 
verwerkers die verwerkingen uitvoeren die monitoring van betrokke¬ 
nen betreffen. En in de derde plaats verantwoordelijken en verwerkers 
die op grote schaal bijzondere persoonsgegevens verwerken. 

Een groep van ondernemingen mag ook gezamenlijk één functionaris 
aanwijzen, mits deze goed bereikbaar is voor alle vestigingen. Als een 
verantwoordelijke of bewerker een publieke autoriteit is mag ook één 
functionaris worden aangewezen voor meer dan één organisatie. 
Gemeenten kunnen er dan voor kiezen gezamenlijk een functionaris aan te 
stellen. 

Het derde element is om ervoor te zorgen dat de verordening in 
voldoende mate uitzonderingen biedt op de rechten van betrokkenen voor 
organisaties die persoonsgegevens verwerken voor het doen van 
grootschalige wetenschappelijke onderzoeken en voor statistische 
doeleinden, omdat het recht op bescherming van persoonsgegevens bij 
dergelijke verwerkingen slechts in relatief geringe mate in het geding is en 
in het licht daarvan anders een disproportionele uitvoeringslast voor de 
verantwoordelijke zou ontstaan. De compromistekst lijkt hier voldoende in 
te voorzien en dat komt vooral in artikel 83 tot uiting. Zo voorziet artikel 
83(2) in de mogelijkheid om voor verwerkingen voorwetenschappelijke 
en historische onderzoeksdoeleinden en statistische doeleinden uitzonde¬ 
ringen te maken op de rechten van betrokken als neergelegd in artikel 15 
(recht op inzage), artikel 16 (recht van rectificatie), artikel 17a (recht op 
restrictie van verwerkingen) en artikel 19 (recht van verzet). Artikel 83(3) 
biedt voorts de mogelijkheid om uitzonderingen te maken op dezelfde 
rechten van betrokkenen, aangevuld met het recht op melding van 
rectificatie (artikel 17b) en het recht op dataportabiliteit (artikel 18) voor 
verwerkingen van persoonsgegevens voor archiveringsdoeleinden in het 
publieke belang. Tenslotte voorzien artikelen 14a (informatie wanneer 
gegevens niet direct van de betrokken zijn ontvangen) en 17 (recht op 
verwijdering) zelf al in uitzonderingen voor verwerkingen voor weten- 


Tweede Kamer, vergaderjaar 2015-2016, 32 761, nr. 91 


3 


schappelijke, en historische onderzoeksdoeleinden, statistische 
doeleinden en voor archiveringsdoeleinden in het publieke belang. Het 
maken van deze uitzonderingen vereist tussenkomst van de nationale 
wetgever, die daarbij in waarborgen voor de gegevensbescherming moet 
voorzien. 

Tot slot wil ik nog ingaan op toestemming als rechtsgrondslag voor het 
verwerken van persoonsgegevens en dan met name in relatie tot 
persoonsgegevens van kinderen. Artikel 8 van de conceptverordening 
bepaalt dat indien gegevensverwerkingen in het kader van het aanbieden 
van «information society services» toestemming als rechtsgrondslag 
vereisen en het betreft gegevens van kinderen onder de 16 jaar, dat de 
toestemming gegeven moet worden met degene die belast is met het 
ouderlijk gezag. Op dit moment voorziet de Wet bescherming persoonsge¬ 
gevens ook in het vereiste van toestemming van degene die is belast met 
het ouderlijk gezag indien persoonsgegevens van kinderen onder de 16 
jaar worden verwerkt. Lidstaten wordt in het compromis de mogelijkheid 
geboden per wet te regelen deze leeftijd te verlagen, mits deze niet lager 
dan 13 jaar is. 

Over het geheel genomen is compromistekst voor de ontwerpverordening 
een gebalanceerde tekst om te zorgen voor een hoog niveau van 
gegevensbescherming aangepast aan de huidige tijd, waarin steeds meer 
zaken online gebeuren en de administratieve lasten voldoende beperkt 
blijven om geen onnodige drempels op te werpen, onder andere ten 
aanzien van innovatie en efficiëntie. 

- De ontwerprichtlijn gegevensbescherming 

Het eerste element is de werkingssfeer van de richtlijn. Anders dan het 
huidige kaderbesluit gegevensbescherming (kaderbesluit 2008/977/JBZ 
van de Raad van 27 november 2008, Pb L 350/60) is de ontwerprichtlijn 
van toepassing op de verwerking van persoonsgegevens, ongeacht of de 
gegevens aan andere landen worden verstrekt. Eenvormige Europese 
regels voor gegevensbescherming zijn van belang voor de bescherming 
van de rechten van burgers en bieden de opsporings- en vervolgingsin- 
stanties zekerheid bij de uitwisseling van gegevens met andere lidstaten. 
De ontwerprichtlijn is van toepassing op de verwerking van persoonsge¬ 
gevens door de bevoegde autoriteiten ten behoeve van de voorkoming, 
het onderzoek, de opsporing, of de vervolging van strafbare feiten of de 
tenuitvoerlegging van straffen, inclusief de bescherming tegen en de 
voorkoming van bedreigingen van de openbare veiligheid (artikel 1, eerste 
lid). Met dit verruimde toepassingsgebied wordt tegemoet gekomen aan 
de wens van een aantal lidstaten, waaronder Nederland, zoveel mogelijk 
aan te sluiten bij de uitvoering van de politietaak. Nederland had graag 
had gezien dat voor het toepassingsgebied de tekst van de Algemene 
Oriëntatie was gehandhaafd, die, zonder overigens wezenlijk af te doen 
aan de in de richtlijn voorziene rechtswaarborgen, de lidstaten meer 
ruimte liet uit oogpunt van effectieve uitvoering van de politietaak. De 
mogelijke implicaties van deze uitkomst zullen nog nader in beeld worden 
gebracht. Ook tegen de achtergrond van de nieuwe tekst zal Nederland 
een maximale inspanning verrichten om de verwerking van gegevens ter 
uitvoering van de politietaak in de implementatiewetgeving onder één 
regime te blijven houden. De richtlijn staat overigens niet in de weg aan 
verdergaande waarborgen voor gegevensbescherming op nationaal 
niveau, dit is in de richtlijn expliciet vastgelegd (artikel 1, lid 1). 

Het tweede element is de verstrekking van persoonsgegevens aan andere 
personen en instanties en aan derde landen. Er worden specifieke 
voorwaarden gesteld aan de verwerking van gegevens voor andere 
doelen, binnen de reikwijdte van de richtlijn (artikel 4, lid 2). Voor de 
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verwerking van gegevens voor andere doelen, buiten de reikwijdte van de 
richtlijn, geldt het vereiste van een wettelijke grondslag. Overigens is de 
ontwerpverordening hierop van toepassing (artikel 7a, lid 1). Deze 
regeling biedt een duidelijk kader voor de verstrekking van persoonsge¬ 
gevens aan andere personen en instanties, met het oog op doelen die 
nauw samenhangen met de opsporing en vervolging van strafbare feiten. 
Tevens is voorzien in een uitgebreide regeling voor de verstrekking van 
persoonsgegevens aan derde landen, deze vormt een duidelijk stap 
vooruit ten opzichte van de regeling van het huidige kaderbesluit 
dataprotectie. Uitgangspunt is een adequaat niveau van gegevensbe¬ 
scherming in het derde land (artikel 34). Als de Commissie daarover geen 
oordeel heeft gegeven zijn er andere gronden voor de verstrekking van 
persoonsgegevens (artikelen 35 en 36). In de Algemene Oriëntatie was 
een specifieke regeling opgenomen voor de verstrekking van persoonsge¬ 
gevens aan ontvangers in derde landen. Nederland is hiervan een 
voorstander, vanwege de noodzaak om bepaalde persoonsgegevens aan 
bedrijven in andere landen te kunnen verstrekken die diensten aanbieden 
op het gebied van informatie- en communicatietechnologie, met het oog 
op de verstrekking van persoonsgegevens door die bedrijven ten behoeve 
van het opspringonderzoek. Deze regeling is in aangepaste vorm 
gehandhaafd, en biedt een goed compromis tussen de betrokken 
belangen (artikel 36aa). 

Het derde element is de rechtsbescherming van de betrokkene en, 
daarmee verband houdend, de informatieplichten jegens die betrokkene. 
Er is een algemene verplichting tot het beschikbaar stellen van bepaalde 
gegevens aan de betrokkene (artikel 10a). Deze gegevens kunnen op een 
website van de verantwoordelijke worden gepubliceerd. Nederland heeft 
op een dergelijke algemene regeling aangedrongen in het belang van de 
uitvoerbaarheid en beperking van de administratieve belasting van 
opsporing en vervolging. Daarnaast heeft de betrokkene een uitgebreid 
recht op kennisneming (artikel 12), gekoppeld aan bepaalde weigerings- 
gronden (artikel 13). Verder is voorzien in het recht op correctie van 
gegevens (artikel 15) evenals de mogelijkheid van controle op een 
rechtmatige toepassing door de toezichthoudende autoriteit (artikel 15a). 

Het vierde element betreft de verplichtingen van de verantwoordelijke, in 
het licht van de balans tussen zorgvuldige gegevensverwerking en de 
beheersing van de werklast voor politie en justitie. De verantwoordelijke is 
gehouden, waar van toepassing en zoveel mogelijk, onderscheid te maken 
tussen persoonsgegevens van verschillende categorieën van personen, 
zoals verdachten, veroordeelden, slachtoffers of getuigen (artikel 5). Ook 
moet, voor zover mogelijk, de verschillende categorieën van persoonsge¬ 
gevens te worden onderscheiden, in overeenstemming met de mate van 
betrouwbaarheid van die gegevens. Deze regels zijn naar mijn oordeel 
minder goed verenigbaar te het politiewerk. De compromistekst biedt de 
lidstaten meer flexibiliteit en is als onderdeel van het compromis naar 
mijn oordeel aanvaardbaar. Verder is voorzien in een verplichting voor de 
verantwoordelijke tot het opstellen van «privacy impact assessments» 
(artikel 25a), de voorafgaande raadpleging van de toezichthoudende 
autoriteit (artikel 26), de beveiliging van de persoonsgegevens (artikel 27) 
en de melding van datalekken (artikelen 28 en 29). Het opstellen van 
«privacy impact assessments» en de melding van datalekken zijn nieuwe 
verplichtingen voor de rechtshandhavingsdiensten. Bij de melding van 
datalekken is overigens rekening gehouden met de Nederlandse zorg dat 
de politietaak in de weg kan staan aan melding van een datalek aan de 
betrokkene. Ten slotte is in dit verband van belang dat is voorzien in een 
verplichting tot aanstelling van een gegevensbeschermingsfunctionaris 
(artikel 30). Hiermee is eveneens tegemoet gekomen aan een Nederlandse 
wens. 
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Samenvattend is de compromistekst van de richtlijn een duidelijke stap 
vooruit in vergelijking met het eerdergenoemde huidige kaderbesluit 
gegevensbescheming. De compromistekst vormt naar mijn oordeel aan 
afgewogen balans tussen het belang van een zorgvuldige bescherming 
van persoonsgegevens en het belang van een adequate uitvoering van 
taken door de rechtshandhavingsdiensten. 

Gelet op het bovenstaande ben ik voornemens positief te beslissen over 
het EU-pakket tot bescherming van persoonsgegevens. 

U zult in de loop van januari 2016 nog een rapportage ontvangen over de 
onderhandelingen in het laatste kwartaal van dit jaar. 

De Minister van Veiligheid en Justitie, 

G.A. van der Steur 
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